用户接入管理协议.ppt

1、第12章 用户接入管理协议,12.1 引言 12.2 接入链路协议 12.3 接入认证/控制协议 12.4 接入管理协议 12.5 小结和推荐资料,12.1 引言,接入网的核心功能之一是对用户进行接入管理 参与用户接入管理的协议主要分为三个层次 接入链路协议 接入认证/控制协议 以及接入管理协议,用户接入管理的协议模型,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据 链路层,网络层,接入管理 协议,12.2 接入链路协议,接

2、入链路协议作用： 提供链路通信服务 提供或便于实现基于用户的接入控制功能 典型的接入链路协议有： 以太网协议：IEEE 802.3 无线局域网协议（IEEE 802.11） PPP（Point-to-Point Protocol，点到点协议） PPPoE：以太网上的点到点协议） Point to Point Protocol over Ethernet 本章主要介绍PPP和PPPoE协议。,PPP协议,概念 Point-to-Point Protocol 点到点的协议 目前使用的版本: RFC 1661 协议作用范围 点到点的链路上(数据链路) 功能 实现点到点链路的两个节点之间: 数据链路的

3、建立与拆除 链路质量检测 身份认证等 网络层协议协商与配置(如IP协议的IP地址等) 两个子协议：LCP 与 NCP,PPP协议参考模型,PHY,PPP 协议,物理层,PPP协议LCP,链路控制协议LCP Link Control Protocol 链路建立 链路参数协商（如MRU等）与配置 是否认证或认证协议协商 链路拆除等,数据 链路层,PPP协议NCP,网络层控制协议NCP Network Control Protocol 不同的网络层协议可复用在同一PPP链路上 PPP为不同的网络层设计了相应的NCP 如对应IP协议的NCP为IPCP 对应IPX协议的NCP为IPXCP 不同的NCP处

4、理不同网络层特殊要求 如IP地址分配等 同一个PPP连接下可开启多个NCP,IPCP,IPXCP,其他,NCP,可选的认证获其他链路选项 LCP,网络层,IP,IPX,其他,PPP的协议的封装格式,类似HDLC的UI帧（无编号帧）,地址,控制,协议,数据,FCS,字节,11 变长 2,地址,控制,数据,FCS,HDLC UI帧,PPP 帧,固定值 OxFF,固定值 Ox03,封装数据的协议类型 如：0 x0021 ：IP协议 0 x8021：IPCP协议,11 2 变长 2,字节,PPP的协议操作过程,链路 死亡,链路 建立,认 证,网络层协议,链路 终止,PPP协议的5个阶段及转换过程,PP

5、P协议的五个阶段,链路消亡阶段 物理层未准备好、PPP的初始阶段 链路建立阶段，由LCP完成 建立请求、协商MRU、认证协议、链路质量监测协议 认证阶段,由LCP完成 可选项，对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商 网络层协议阶段，由NCP完成 对网络层协议进行配置，如网络层地址（IP地址）分配 链路终止阶段,由LCP完成 可以在任何时候终止链路，链路的正常终止由LCP分组完成，一个NCP的关闭不一定引起链路的关闭,PPPoE协议,概念 PPP Over Ethernet 以太网的点到点的协议 目前使用的版本: RFC 2516 PPPoE的引入 PPP只适应点到点链路的

6、接入控制 点到多点链路PPP仍然适应吗？否! PPPoE可以实现对点到多点链路的接入控制 PPPoE的功能 对以太网上每个用户与NAS之间建立一条PPP会话通道 每一条PPP会话通道有唯一的连接标识 实现对太网上每个用户进行单独的管理,PPPoE接入模型,图中：接入桥接设备可为：交换机、ADSL Modem 接入集中器可为： PPPoE服务器 DSLAM（集成了PPPOE协议）,主机,主机,主机,接入集中器 Access Concentrator,主机,主机,ISP,局域网 （以太网）,PPP会话,桥接接入设备 Bridging Access Device,PPPOE服务器,PPPoE协议分层

7、模型,PPPoE分组（帧）格式,PPPoE协议封装在以太帧中（以太帧的载荷）,字节,目的MAC地址,源MAC地址,类型,有效载荷 （PPPoE分组）,FCS,6 6 2 变长 4,PPPoE封装 在以太帧中,版本,代码,类型,有效载荷,会话标识,比特,0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7,长度,PPPoE分组格式,固定值,不同阶段的分组类型,PPPoE 载荷长度,标识一个特定的PPPoE会话,发现阶段：为空 会话阶段：PPP帧,PPPoE协议操作（运行）的两个阶段,两个阶段：PPPoE发现与PPP会话 发

8、现阶段 主机广播一个PPPoE有效发现启动分组（PADI），寻找合适PPPoE服务器 可能有多个服务器收到该消息，满足要求的服务器发送有效发现提供分组应答（PADO），否则不发应答 主机选择一个合适的接入服务器，发有效发现请求分组（PADR） 接入服务器向主机发送有效发现发现会话证实（PADS），为主机分配唯一的会话标识。发现过程结束,PPPoE协议操作（运行）的两个阶段,PPP会话阶段 发现结束后，主机和PPPoE接入服务器建立点到点隧道，进入会话阶段 PPP帧封装在PPPoE帧中 而PPPoE帧封装在Ethernet帧中，通过以太网或其它接入网承载或运送,12.3 接入认证/控制协议,用于

9、用户和BAS之间，实现对用户的认证和接入控制 口令认证协议 PAP 质询认证协议 CHAP 可扩展的认证协议 EAP 基于端口的接入认证与控制协议 802.1X,口令认证协议PAP,PAP（由RFC 1334描述） Password Authentication Protocol 口令认证协议 PAP认证过程 （在PPP的LCP阶段配置为采用PAP协议进行认证） 被认证方向认证方发认证请求信息（明文）请求信息含“用户名、口令” Auth-Request 认证方向被认证方发认证应答信息（明文） Auth-Ack or Auth-Nak,PAP认证的问题 明文传输认证信息容易被窃取，存在安全隐患,

10、质询认证协议 CHAP,CHAP Challenge Authentication Protocol 质询认证协议 由RFC 1994描述 CHAP认证的特点 认证信息采用密文传送 采用共享密钥 与PAP相比 安全性更高 认证所花时间更长,质询认证协议 CHAP,CHAP认证的交互过程 三次交互,2) 响应（Response） （密文）,1) 质询（Challenge）(明文）,3) 认证成功/失败 （Auth-Ack / Auth-Nak）,1) 由认证方向被认证方发送质询分组,质询值为长度不固定的随机字节流-随机数,) 由被认证方向认证方发送响应分组,将质询值通过共享密钥加密后传送到对方,

11、) 由认证方向被认证方发送响应分组,认证方用共享密钥解密，正确发Ack，错误发Nak,质询认证协议 CHAP,1) 加密算法是MD5哈希算法,) 加密的字节流由CHAP质询分组标识、密钥和质询值组成,) CHAP认证交互过程在整个PPP链路中可以进行多次,4) 协商后通常优先选用CHAP,可扩展认证协议 EAP,EAP的含义 Extensible Authentication Protocol 可扩展的认证协议 由RFC 2284描述 RFC 3748将EAP的应用从点到点链路（PPP）推广到IEEE 802网络 并非一个具体的认证协议 设计目标是把链路建立阶段的认证协议选择延迟到可选的PPP

12、认证阶段 是一个认证协议的封装协议 定义了一种封装的框架、格式 具体的认证协议和认证信息封装在EAP分组中，如 PAP over EAP、CHAP over EAP etc. 迄今EAP支持的认证协议达42种,EAP协议分层模型,低层 负责收发Peer和Authenticator间封装EAP分组的帧 可以包括PPP,IEEE 802 LAN,UDP TCP EAP层 由低层收发EAP分组，实现分组的重复性检测和重传 向上层递交或接受EAP报文 EAP Peer/Authenticator层 EAP Peer层为被认证方提供Peer功能，接受EAP请求、成功或失败分组 EAP Authentic

13、ator层为认证方提供Authenticator功能，接受EAP响应分组 EAP方法层 实现多种认证算法，收发EAP报文，支持分段与重组,EAP直通Authenticator,允许使用后台认证服务器,EAP协议交互过程,四种分组：Request/Response/Success/Failure 停止-等待协议,EAP协议使用,EAP协议在PPP网络中的使用 在LCP链路协商中将选择认证协议为EAP协议 在协商通过后，即可在PPP认证阶段开始EAP协议交互，确定具体的认证机制 EAP协议在IEEE802网络中的使用 IEEE 802.1X,用户接入控制协议 802.1X,概念 IEEE802.1

14、X 基于端口的接入控制协议 目前使用标准版本: IEEE Std 802.1X-2004 一个专用于802网络用户接入认证与控制的协议 接入要求 LAN用户以点到点方式接入到LAN的端口上 端口可以是物理端口（如以太网交换机端口） 端口也可以是逻辑端口（如WLAN中的AP端口） 功能 为LAN用户提供接入认证及授权的服务功能,802.1X协议模型的三种实体,客户系统（Supplicant System） 运行802.1X客户软件的用户终端系统 认证系统（Authenticator System） 为802.1X客户系统（即LAN用户）提供授权的接入服务，通常为支持802.1X协议的网络接入设备

15、 如支持802.1X的以太网交换机或AP 认证服务器系统（Authentication Server System） 为认证系统提供认证服务，如AAA服务器,802.1X的协议运行模型,PAE: Port Access Entity: 端口接入实体,客户系统,认证系统,认证服务器系统,客户 PAE,提供授权 的服务,认证PAE,受控端口,认 证 服务器,LAN,不受控 端口,运行802.1X客户 软件的用户终端,支持802.1X的网络 接入设备 为801.1x客户提供 授权的接入服务,为认证系统 提供认证服务,802.1X的不受控/受控端口,不受控端口 传输认证信息 始终连通 受控端口 传输用

16、户业务数据 受控方式：双向受控或仅输入受控 端口默认状态为未授权状态，即断开状态 双向受控：端口此时禁止收、发业务数据 仅输入受控：端口此时只能发送数据 通过认证后，处于授权状态，即接通状态,受控端口,不受控 端口,802.1X协议运行,协议运行实体 客户PAE、认证PAE、认证服务器 认证协议封装类型 客户PAE与认证PAE之间：EAPOL(EAP Over LAN)，通常是 EAP Over Ethernet 认证PAE与认证服务器之间：EAP 认证的发起者 客户PAE或认证PAE,802.1X的认证与接入过程,1)客户PAE将认证信息由EAPOL封装，并通过认证系统的不受控端口传输到认证

17、PAE 2)认证PAE将认证信息由EAP封装传输到认证服务器 3)认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功/失败） 4)认证PAE将认证结果反馈给客户PAE 认证成功：受控端口设为授权状态，向用户提供接入服务 认证失败：受控端口继续断开，拒绝向用户提供接入服务,通过以太网交换机接入的交换式以太网 每台主机以点到点方式接入到交换机每个端口 接入点为交换机的物理端口 通过AP接入的无线局域网 每台无线主机以点到点方式 接入AP的同一无线端口 控制端口为逻辑端口 不同的逻辑端口可由 MAC地址区分,注：PC中安装客户PAE 交换机或AP中安装认证PAE,802.1X协议的应用,

18、特点 认证期用专用帧认证 认证通过后，数据通路开通，数据可线速处理，开销小 集中分布控制，分布程度大，需要接入交换机多 认证通过后，不对数据帧逐帧检查（仍有隐患）,802.1X接入控制的特点,802.1X 客户,AAA 服务器,核心网,认证通过,用户数据,认证数据,802.1X 服务器,受控端口,非受控端口,概念 RADIUS的含义 协议的发展 协议的功能 协议模型 协议运行 报文格式和类型（自学） RADIUS代理 协议应用,12.4 接入管理协议,RADIUS 的含义 Remote Authentication Dial In User Service 远程认证拨号用户服务 协议标准：RF

19、C2865，RFC2866 扩展版本：RFC2867，RFC2868（支持隧道技术） 等 协议发展与应用范围 最初仅针对拨号用户，实现AAA的管理功能 现已发展成一种通用的、广泛使用的实现AAA功能的协议 适用于各种方式接入的用户的集中管理 相似协议-TACACS+,思科专有协议 协议的功能 对接入用户提供认证、授权和记帐功能 支持对漫游用户的接入管理,用户接入管理协议 RADIUS,协议模型,LAN,用户,NAS,RADIUS server,接入 client,接入 server,RADIUS client,用户接 入 认证协议,RADIUS协议,用户管理数据库,用户接入管理协议 RADIU

20、S,模型结构为集中/分布式 协议作用范围：NAS与RADIUS服务器之间 注意：RADIUS并未对用户与NAS之间的认证协议进行规定,用户接入管理协议 RADIUS,RADIUS 协议运行 NAS与RADIUS服务器之间的操作 但必须有用户与NAS之间认证协议的配合 协议运行分为两个过程： 认证操作（包括授权） 记帐操作 协议实体交互过程中采用重传机制,RADIUS协议报文格式,UDP传输，端口号是1812和1813,RADIUS协议报文格式（续）,代码,RADIUS协议报文格式（续）,属性,RADIUS协议报文格式（续）,鉴别码 请求鉴别码 接入请求报文和记账请求报文中 16字节的随机二进制

21、数 两个作用：计算响应鉴别码；用于MD5加密 响应鉴别码 接入许可/拒绝/质询和记账响应报文中 用MD5运算而得: MD5(代码值+标识值+长度值+请求鉴别码+响应属性值+共享密钥),用户接入管理协议 RADIUS,认证操作 操作实体 NAS与RADIUS认证服务器 认证操作的方式 请求/响应方式 质询/响应方式,用户接入管理协议 RADIUS,请求/响应方式(一问一答）,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,接入许可/拒绝报文,NAS从用户处获得用户认证信息 NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器（含用户名、口令等

22、） RADIUS认证服务器验证用户的合法性，并通过接入许可/拒绝报文回应NAS,接入许可/拒绝报文,接入质询报文,用户接入管理协议 RADIUS,质询/响应方式,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,质询值，提示消息,响应值,接入请求报文,NAS第1次发出的接入请求报文中含用户名和口令信息 NAS第2次发出的接入请求报文中将口令换成用户的质询响应值,用户接入管理协议 RADIUS,记帐请求报文,接入许可开始记帐,RADIUS记帐服务器,记帐响应报文,NAS,a) 开始记帐,记帐请求报文,服务终止结束记帐,RADIUS记帐服务器,记帐响应报文,NAS,b

23、) 结束记帐,记帐操作 操作实体：NAS与RADIUS记帐服务器 操作时机：授权许可提供服务开始时和服务终止时,用户接入管理协议 RADIUS,RADIUS 代理 一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器 一个中继服务器可以为多个远程服务器中继 典型应用：为漫游用户提供接入AAA管理,用户接入管理协议 RADIUS,RADIUS 代理 假设用户A的认证信息存放在一个远程服务器中,中继服务器,远程服务器,1)接入请求报文,NAS,2)接入请求报文,Diameter协议,Diameter协议由 组成 一个基础协议RFC3588 Diameter Based Pro

24、tocol 一个AAA传输协议RFC3539 AAA Transport Profile 一些应用协议,Diameter节点,三种类型：客户、服务器、代理 三者都可主动发出请求消息，对等协议 客户可以是NAS，也可以是HA归属代理或FA外地代理 代理的四种类型 DRL中继代理 受托代理 重定向代理 协议转换代理,DRL中继代理,路由转发：基于Diameter路由表,Diameter受托代理,路由转发：基于Diameter路由表 修改消息以实现资源控制、准入控制等策略,Diameter重定向代理,不中继Diameter消息 重定向：告知Diameter消息的发送者到其目的地的明确路径,Diame

25、ter协议转换代理,实现Diameter协议和其他AAA协议间的协议转换,Diameter基础协议,包括Diameter消息格式及其收发、节点间的能力协商以及差错处理等 可作为一个财务协议单独使用，但通常要和某个Diameter应用协议一起使用 封装在TCP和SCTP协议中传送，3868端口,Diameter应用协议,利用基础协议提供的消息传送机制，规范相关节点的功能和消息内容，实现应用服务的AAA Diameter MIP应用 Diameter NAS应用 Diameter EAP应用 Diameter SIP应用 Diameter 信用控制应用,Diameter MIP应用,Diamete

26、r服务器作为一个移动节点MN提供基于移动IPv4的AAA管理 MIP应用 HA和FA作为Diameter客户,Diameter NAS应用 定义了和RADIUS等传统AAA管理应用之间的交互 Diameter EAP应用 实现NAS和后台认证服务器之间的EAP分组承载 Diameter SIP应用 在SIP服务器中提供Diameter客户功能 Diameter 信用控制应用 实现对各种端用户业务的实时信用控制 端用户业务包括网络接入、SIP服务、下载服务等,RADIUS固有的C/S模式限制了它的进一步发展；Diameter采用了peer-to-peer模式，peer的任何一端都可以发送消息以发

27、起计费等功能或中断连接 可靠的传输机制。RADIUS运行在UDP协议上，并且没有定义重传机制，而Diameter运行在可靠的传输协议TCP、SCTP之上 失败恢复机制。RADIUS协议不支持失败恢复机制，而Diameter支持应用层确认，并且定义了失败恢复算法和相关的状态机，能够立即检测出传输错误 大的属性数据空间。Diameter采用AVP（Attribute Value Pair）来传输Diameter 消息，属性空间足够大,Diameter和RADIUS比较,支持同步的大量用户的接入请求 服务器初始化消息。RADIUS中只有客户能发出重认证请求，所以服务器不能根据需要重新认证。而Diameter服务器可以